Fecha de Publicación: Jueves, 26 de Agosto de 2021
Fuente: https://unaaldia.hispasec.com/2021/08/microsoft-power-apps-expone-38-millones-de-datos.html
26 agosto, 2021 Por Raquel Gálvez
Microsoft se ha visto obligado a lanzar nuevas actualizaciones para su plataforma de desarrollo, así como una herramienta que permite comprobar su seguridad.
Si bien hace unos días informábamos a nuestros lectores sobre la existencia de una nueva vulnerabilidad de RCE en la cola de impresión de Windows, hoy es el turno de Microsoft Power Apps.
Power Apps, según la página oficial de Microsoft, es:
Un conjunto de aplicaciones, servicios, conectores y una plataforma de datos que proporciona un entorno de desarrollo de aplicaciones ágil para crear aplicaciones personalizadas para las necesidades de su empresa.
El fallo descubierto se trata de un error de configuración en la API ODdata, concretamente en la forma en que el portal de desarrollo de aplicaciones empresariales comparte y almacena los datos. Dicho fallo podría conllevar el acceso público a información confidencial.
Según lo que se conoce hasta el momento, más de 38 millones de datos que afectan a 47 entidades diferentes, tanto gubernamentales como públicas, habrían sido filtrados.
Dichos datos varían dependiendo del portal en cuestión, habiéndose detectado información personal utilizada para el seguimiento de contactos COVID-19, fechas de vacunación, números de seguridad social de demandantes de empleo, etc.
Quizás el conjunto de datos filtrados que, según los investigadores, podría ser más preocupante, son las 332.000 direcciones de email e identificadores de empleados usados globalmente en los servicios de nómina de Microsoft, así como 85.000 documentos relacionados con Herramientas de Soporte para Empresas (Business Tools Support) y con los portales de Realidad Mixta (Mixed Reality).
Como mencionábamos al principio de este post, Microsoft ya ha lanzado actualizaciones para solventar el problema, así como la herramienta Portal Checker que proporciona a las empresas un diagnóstico con el que conocer si se está produciendo algún tipo de exposición de información sensible debida a fallos de configuración.
Para aquellos que quieran leer en mayor profundidad sobre este tema, podéis encontrar más información en la entrada de blog publicada por los investigadores.
Más información
38 Million Records Exposed from Microsoft Power Apps of Dozens of Organisations
Important changes coming in Power Apps portals
Analyze and resolve Portal Checker diagnostics results
38 million records exposed in Microsoft Power apps misconfiguration
By Design: How Default Permissions on Microsoft Power Apps Exposed Millions
